话说,自从考了CISA,看IT安全审计不再是一头雾水了,要是这句算广告,那我也认栽了。
说正事,IT系统安全审计(信息系统安全审计)不是一个新鲜事物,但是一直没有被提到很高的重视程度上来。究其原因,就好比从前自然灾害时期,大家都在研究如何想方设法填饱肚子,一个人喊要注意营养均衡一样。 在中国互联网飞速发展的这20多年,IT安全问题其实一直存在,但在《网络安全法》颁布前,除了部分国际外企或上市公司的财报相关系统才会被关注到安全性,其他企业在等保合规之前对安全的感知其实并不明显。
本文从实际工作角度出发,一步步出发,看如何为企业制订一个切合实际业务的IT信息系统的安全审计计划。
一、背景
1.1 什么是IT信息系统安全审计?
保障企业核心数字资产安全的内部防线,包括信息系统安全和数据安全。
1.2前置任务:审计章程
审计章程最主要的是明确职责和获得高层授权。
在不同企业,IT安全审计的汇报对象不同,获得的职权和工作内容可能是截然不同的。
举个例子,在A集团,信息安全部门有专职的CISO 首席信息安全官,他直接向董事会汇报,IT安全审计工作覆盖集团及子公司所有IT系统和数据安全,并对IT项目的ROI(成本收益负责)有权审计IT项目的可行性和安全性,有对主要业务流程及相关信息系统建设的建议权。那么这个部门内部纠察的权利就会相对大。
在B公司,IT安全审计人员作为技术部门的一部分,组长向CTO汇报,那么具体审计的工作可能主要是:保障代码研发过程安全,re